網(wǎng)絡(luò)基礎(chǔ)知識(shí)

1、交換機(jī)產(chǎn)品參數(shù)、規(guī)劃和設(shè)備的的選型,特點(diǎn),網(wǎng)絡(luò)的規(guī)劃及設(shè)備選型,目錄,交換機(jī)知識(shí),以太網(wǎng)和IEEE802.3,以太網(wǎng)是由DIX（DEC、INTEL、XEROX）制定的網(wǎng)絡(luò)協(xié)議，廠家的標(biāo)準(zhǔn)。,IEEE802.3家族是由IEEE（Institute of Electrical and Electronic Engineers）制定的網(wǎng)絡(luò)協(xié)議，國(guó)際標(biāo)準(zhǔn)。,優(yōu)點(diǎn)： 價(jià)格適中，易于安裝 技術(shù)簡(jiǎn)單，易于學(xué)習(xí) 在輕負(fù)載情況下表現(xiàn)優(yōu)秀,缺點(diǎn)： 重負(fù)載情況下網(wǎng)絡(luò)通信變慢 主電纜中斷會(huì)引起網(wǎng)絡(luò)癱瘓* 總線拓?fù)渖喜檎夜收鲜掷щy*,以太網(wǎng)工作原理,PC1: IP：192.168.0.1/24 MAC: 11:11:

2、11:11:11:11,PC2: IP：192.168.0.2/24 MAC: 22:22:22:22:22:22,PC3: IP：192.168.0.3/24 MAC: 33:33:33:33:33:33,集線器（Hub）,目標(biāo)機(jī)器：PC2,目標(biāo)機(jī)器：PC2,目標(biāo)機(jī)器：PC2,丟棄,以太網(wǎng)采用廣播方式通信，所有與網(wǎng)絡(luò)相連的主機(jī)都可以看到網(wǎng)絡(luò)中傳遞的所有數(shù)據(jù)。,以太網(wǎng)和IEEE802.3（續(xù)一）,以太網(wǎng)和IEEE802.3?（續(xù)二）,以太網(wǎng)和IEEE802.3?（續(xù)三）,萬兆以太網(wǎng)標(biāo)準(zhǔn)為IEEE802.3ae*,OSI參考模型具體層次及各層功能,1,2,3,4,5,6,7,應(yīng)用層（Applic

3、ation Layer）,表示層（Presentation Layer）,會(huì)話層（Session Layer）,傳輸層（Transport Layer）,網(wǎng)絡(luò)層（Network Layer）,數(shù)據(jù)鏈路層（Data Link Layer）,物理層（Physical Layer）,底層:負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)傳輸,高層:負(fù)責(zé)主機(jī)之間的數(shù)據(jù)傳輸,提供應(yīng)用程序間通信,處理數(shù)據(jù)格式、數(shù)據(jù)加密等,建立、維護(hù)和管理會(huì)話,建立主機(jī)端到端連接,尋址和路由選擇,提供介質(zhì)訪問、鏈路管理等,比特流傳輸,OSI參考模型,主要功能,OSI模型比喻,應(yīng)用層,表示層,會(huì)話層,傳輸層,網(wǎng)絡(luò)層,數(shù)據(jù)鏈路層,物理層,經(jīng)理 寫好信件草稿,助理

4、 修改錯(cuò)字、格式,秘書 找出收信人地址，寫好信封,司機(jī) 將信件帶到郵局,排序工人 將郵件依地區(qū)分類,包裝工人 將郵件裝包,搬運(yùn)工人 將貨搬上車,經(jīng)理 閱讀郵件,助理 提醒有信，翻譯,秘書 打開信件，作副本,司機(jī) 由郵局取回信件,排序工人 拆包,包裝工人 為獨(dú)立郵戶排序,搬運(yùn)工人 將貨搬上車,傳輸媒介,網(wǎng)絡(luò)拓?fù)?核心交換機(jī),接入交換機(jī),接入交換機(jī),接入交換機(jī),接入交換機(jī),核心層,匯聚層,接入層,5類？超5類？6類？,單模？多模？,CC,核心層 ：透光的玻璃層,包覆層 ： 不透光的玻璃層,注意：光纖不是一根中間空的管子，它是由兩個(gè)不可分割的固體玻璃部分組成：核心層和包覆層。,單模？多模？（續(xù)一）,

5、核心層,多模光纖 62.5/125 是標(biāo)準(zhǔn)尺寸 (TIA 568a, ISO 11801) 50/125 是非標(biāo)準(zhǔn)尺寸，其應(yīng)用范圍正在擴(kuò)大。 100/140 & 85/125 已淘汰 單模光纖 8.3 10/125 是標(biāo)準(zhǔn)尺寸 是電話和有線電視標(biāo)準(zhǔn).,62.5,125 微米,包覆層,單模？多模？（續(xù)二）,“當(dāng)光線被包含在一個(gè)導(dǎo)波管內(nèi)時(shí)就能沿有限的幾種路徑(模)傳播就象許多橡皮球在管道里反彈前進(jìn).” 850nm & 1300nm, 多模 。 “當(dāng)核心層直徑足夠小時(shí),就只能容許一條光線或者一種模式的光線在管子里面?zhèn)鬏?這就是我們所說的單模光纖.” 1300nm & 1550nm, 單模。,交換機(jī)分

6、類,網(wǎng)絡(luò)構(gòu)成方式：接入層交換機(jī)、匯聚層交換機(jī)和核心層交換機(jī) OSI模型：第二層交換機(jī)、第三層交換機(jī)、第四層交換機(jī)等，一直到第七層交換機(jī) 交換機(jī)的可管理性：可管理型交換機(jī)和不可管理型交換機(jī)，它們的區(qū)別在于對(duì)SNMP、RMON等網(wǎng)管協(xié)議的支持。,怎樣選擇交換機(jī),(1)、背板帶寬、二/三層交換吞吐率。 (2)、VLAN類型和數(shù)量。 (3)、交換機(jī)端口數(shù)量及類型。 (4)、支持網(wǎng)絡(luò)管理的協(xié)議和方法。需要交換機(jī)提供更加方便和集中式的管理。 (5)、Qos、802.1q優(yōu)先級(jí)控制、802.1X、802.3X的支持。 (6)、堆疊的支持。 (7)、交換機(jī)的交換緩存和端口緩存、主存、轉(zhuǎn)發(fā)延時(shí)等參數(shù)。 (8)、

7、線速轉(zhuǎn)發(fā)、路由表大小、訪問控制列表大小、對(duì)路由協(xié)議的支持情況、對(duì)組播協(xié)議的支持情況、包過濾方法、機(jī)器擴(kuò)展能力等都是值得考慮的參數(shù)，應(yīng)根據(jù)實(shí)際情況考察。,背板帶寬概念,背板帶寬: 交換機(jī)的背板帶寬，是交換機(jī)接口處理器或接口卡和數(shù)據(jù)總線間所能吞吐的最大數(shù)據(jù)量。背板帶寬標(biāo)志了交換機(jī)總的數(shù)據(jù)交換能力，單位為Gbps，也叫交換帶寬。所以只有模塊交換機(jī)（擁有可擴(kuò)展插槽，可靈活改變端口數(shù)量）才有這個(gè)概念，固定端口交換機(jī)是沒有這個(gè)概念的，并且固定端口交換機(jī)的背板容量和交換容量大小是相等的。背板帶寬決定了各板卡（包括可擴(kuò)展插槽中尚未安裝的板卡）與交換引擎間連接帶寬的最高上限。由于模塊化交換機(jī)的體系結(jié)構(gòu)不同，背板

8、帶寬并不能完全有效代表交換機(jī)的真正性能。固定端口交換機(jī)不存在背板帶寬這個(gè)概念。,交換容量、轉(zhuǎn)發(fā)能力,交換引擎的轉(zhuǎn)發(fā)性能 (交換容量、轉(zhuǎn)發(fā)能力）由于交換引擎是作為模塊化交換機(jī)數(shù)據(jù)包轉(zhuǎn)發(fā)的核心，所以這一指標(biāo)能夠真實(shí)反映交換機(jī)的性能。對(duì)于固定端口交換機(jī)，交換引擎和網(wǎng)絡(luò)接口模板是一體的，所以廠家提供的轉(zhuǎn)發(fā)性能參數(shù)就是交換引擎的轉(zhuǎn)發(fā)性能，這一指標(biāo)是決定交換機(jī)性能的關(guān)鍵。支持第三層交換的設(shè)備，廠家會(huì)分別提供第二層轉(zhuǎn)發(fā)速率和第三層轉(zhuǎn)發(fā)速率，一般二層能力用bps，三層能力用pps，采用不同體系結(jié)構(gòu)的模塊化交換機(jī)，這兩個(gè)參數(shù)的意義是不同的。但是，對(duì)于一般的局域網(wǎng)用戶而言，只關(guān)心這兩個(gè)指標(biāo)就可以了，它是決定該系統(tǒng)

9、性能的關(guān)鍵指標(biāo)。對(duì)于大型園區(qū)網(wǎng)和城域網(wǎng)用戶，討論交換機(jī)的體系結(jié)構(gòu)和第三層優(yōu)化算法是有意義的。,背板帶寬,背板帶寬，是交換機(jī)接口處理器或接口卡和數(shù)據(jù)總線間所能吞吐的最大數(shù)據(jù)量。 計(jì)算公式：端口數(shù)相應(yīng)端口速率2（全雙工模式） 24口百兆+2口千兆 24*2*100+2*2*1000=8.8Gbps,線速包轉(zhuǎn)發(fā)率的計(jì)算方法,1）背板帶寬（交換容量） 考察交換機(jī)上所有端口能提供的總帶寬。計(jì)算公式為端口數(shù)*相應(yīng)端口速率*2（全雙工模式）如果總帶寬標(biāo)稱背板帶寬，那么在背板帶寬上是線速的。 2）包轉(zhuǎn)發(fā)線速 包轉(zhuǎn)發(fā)率=千兆端口數(shù)量1.488Mpps+百兆端口數(shù)量*0.1488Mpps+其余類型端口數(shù)*相應(yīng)計(jì)算

10、方法,參數(shù)1.488Mpps的來歷,那么，1.488Mpps是怎么得到的呢? 包轉(zhuǎn)發(fā)線速的衡量標(biāo)準(zhǔn)是以單位時(shí)間內(nèi)發(fā)送64byte的數(shù)據(jù)包（最小包）的個(gè)數(shù)作為計(jì)算基準(zhǔn)的。對(duì)于千兆以太網(wǎng)來說，計(jì)算方法如下：1，000，000，000bps/8bit/（64812）byte=1,488,095pps 說明：當(dāng)以太網(wǎng)幀為64byte時(shí)，需考慮8byte的幀頭和12byte的幀間隙的固定開銷。故一個(gè)線速的千兆以太網(wǎng)端口在轉(zhuǎn)發(fā)64byte包時(shí)的包轉(zhuǎn)發(fā)率為1.488Mpps?？焖僖蕴W(wǎng)的線速端口包轉(zhuǎn)發(fā)率正好為千兆以太網(wǎng)的十分之一，為148.8kpps。 *對(duì)于萬兆以太網(wǎng)，一個(gè)線速端口的包轉(zhuǎn)發(fā)率為14.88M

11、pps。 *對(duì)于千兆以太網(wǎng)，一個(gè)線速端口的包轉(zhuǎn)發(fā)率為1.488Mpps。 *對(duì)于快速以太網(wǎng)，一個(gè)線速端口的包轉(zhuǎn)發(fā)率為0.1488Mpps。 *對(duì)于以太網(wǎng)，一個(gè)線速端口的包轉(zhuǎn)發(fā)率為0.01488Mpps。,包轉(zhuǎn)發(fā)率,包轉(zhuǎn)發(fā)率標(biāo)志了交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包能力的大小。是指交換機(jī)每秒可以轉(zhuǎn)發(fā)多少個(gè)數(shù)據(jù)包（Mpps），即交換機(jī)能同時(shí)轉(zhuǎn)發(fā)的數(shù)據(jù)包的數(shù)量。包轉(zhuǎn)發(fā)率以數(shù)據(jù)包為單位體現(xiàn)了交換機(jī)的交換能力。計(jì)算方法=千兆端口數(shù)量 1.488Mpps+百兆端口數(shù)量 0.1488Mpps+其余類型端口數(shù) 24口百兆口，2個(gè)千兆口 2*1.488+24*0.14886.6Mbps,線速交換,什么的線速交換： 線速交換，是指能

12、夠按照網(wǎng)絡(luò)通信線上的數(shù)據(jù)傳輸速度實(shí)現(xiàn)無瓶頸的數(shù)據(jù)交換。其實(shí)現(xiàn)首先依ASIC芯片，通過專用硬件完成協(xié)議解析和數(shù)據(jù)包的轉(zhuǎn)發(fā)，而不是通過軟件方式依交換機(jī)的CPU完成。線速交換的實(shí)現(xiàn)還借助于分布式處理技術(shù)，交換機(jī)多個(gè)端口的數(shù)據(jù)流能夠同時(shí)進(jìn)行處理。因此局域網(wǎng)交換機(jī)可以看做是CPU、RISC和 ASIC并用的并行處理設(shè)備。,MB、 Bps 、 bps 、pps的區(qū)別,前者是位,后者是字節(jié) 1byte=8bit 1MB=8Mb=8M 1MB=1024byte Mbps這里的p相當(dāng)于“/”，也可以寫成Mb/s （兆比特每秒Mbps ） 通常說的100M的寬帶可以表示為100Mbps(100Mb/s)也可以表示

13、成12.5MB/s(12.5MBps) 12.5MB/s就是我們通過軟件下載看到的數(shù)據(jù),bps?,寬帶速率的單位用bps(或b/s)表示； bps表示比特每秒，即表示每秒鐘傳輸多少位信息。在實(shí)際所說的1M帶寬的意思是1Mbps（是兆比特每秒Mbps不是兆字節(jié)每秒MBps） 線路單位是bps，表示bit(比特)/second(秒)，注意是小寫字母b；用戶在網(wǎng)上下載時(shí)顯示的速率單位往往是Byte(字節(jié))/s(秒)，注意是大寫字母B。字節(jié)和比特之間的關(guān)系為1Byte=8Bits 2M（即2Mb/s）寬帶理論速率是：256KB/s（即2048Kb/s），實(shí)際速率大約為103-200kB/s,pps?,

14、包轉(zhuǎn)發(fā)率標(biāo)志了交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包能力的大小。單位一般為pps（包每秒） 包轉(zhuǎn)發(fā)速率是指交換機(jī)每秒可以轉(zhuǎn)發(fā)多少百萬個(gè)數(shù)據(jù)包（Mpps），即交換機(jī)能同時(shí)轉(zhuǎn)發(fā)的數(shù)據(jù)包的數(shù)量。 計(jì)算方法 1個(gè)千兆端口的線速包轉(zhuǎn)發(fā)率是1.4881Mpps， 百兆端口的線速包轉(zhuǎn)發(fā)率是0.14881Mpps 具體的數(shù)據(jù)包在傳輸過程中會(huì)在每個(gè)包的前面加上64個(gè)字節(jié)的數(shù)據(jù)包，原本只有512個(gè)bit,但在傳輸過程中實(shí)際=512+64+96=672bit，千兆端口線速包轉(zhuǎn)發(fā)率=1000Mbps/672=1.488095Mpps 用設(shè)備參數(shù)中的pps數(shù)值乘以672=bps 6.6Mpps*672=4435.2Mbps,什么是堆疊?,交

15、換機(jī)的堆疊是相對(duì)于級(jí)聯(lián)而言的，堆疊和級(jí)聯(lián)都是擴(kuò)充交換機(jī)端口數(shù)量的方法，但堆疊后的設(shè)備，在邏輯上是一臺(tái)設(shè)備，可以實(shí)現(xiàn)統(tǒng)一管理，這是級(jí)聯(lián)做不到的。堆疊又分為物理堆疊和虛擬堆疊，其中物理堆疊又分為星型堆疊和環(huán)型堆疊。物理堆疊是用專門的堆疊端口，通過堆疊線纜把交換機(jī)連接在一起；虛擬堆疊不需要專門的堆疊口，交換機(jī)通過普通的級(jí)聯(lián)連接在一起，但通過軟件設(shè)置，這些設(shè)備能夠?qū)崿F(xiàn)單IP統(tǒng)一管理。,級(jí)聯(lián)？堆疊？,級(jí)聯(lián)？堆疊？（續(xù)一）,級(jí)聯(lián),級(jí)聯(lián)？堆疊？（續(xù)二）,堆疊,Switch 4400 Stack,級(jí)聯(lián)？堆疊？（續(xù)三）,堆疊,Switch 4400 Stack,級(jí)聯(lián)？堆疊？（續(xù)四）,堆疊,Switch 4400

16、 Stack,MAC地址表?,MAC地址表，也叫CAM（內(nèi)容尋址存儲(chǔ)器）表，它里面存放的是MAC地址和端口的對(duì)應(yīng)關(guān)系，當(dāng)交換機(jī)收到數(shù)據(jù)幀時(shí)，它會(huì)根據(jù)數(shù)據(jù)幀的目的MAC地址，來查找對(duì)應(yīng)關(guān)系，然后把數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)端口。通常，位于核心位置的交換機(jī)MAC地址表空間很大，位于匯聚層的交換機(jī)次之，位于接入層的交換機(jī)最小。MAC地址表的大小以條目數(shù)量來計(jì)算，比如，4K,指的是4K個(gè)條目。 應(yīng)用： 一個(gè)設(shè)備的MAC地址表的大小反映了連接到該設(shè)備能支持的最大節(jié)點(diǎn)數(shù)。交換機(jī)的mac地址表大小影響交換機(jī)的接入容量，地址表越大，接入容量就越大，如果地址表容量（存儲(chǔ)器容量）不大，它存儲(chǔ)的地址表項(xiàng)就有限，它會(huì)不停地廣播，

17、不停地學(xué)習(xí)，性能也就下降了，在大型網(wǎng)絡(luò)中，如果MAC地址表容量不夠大的話，是會(huì)引起性能大副度下降。,什么是VLAN?,VLAN是Virtual LAN，即虛擬局域網(wǎng)的縮寫，是一種不需額外增加網(wǎng)絡(luò)設(shè)備，就可實(shí)現(xiàn)網(wǎng)絡(luò)分層的技術(shù)，在現(xiàn)今大型網(wǎng)絡(luò)中被廣泛使用。,35,VLAN？（續(xù)一）,VLAN技術(shù),劃分虛網(wǎng)的目的 隔離廣播域 增強(qiáng)安全性,VLAN1,VLAN2,VLAN3,劃分VLAN方法,基于端口的VLAN 通用標(biāo)準(zhǔn)：IEEE802.1q 基于協(xié)議地址的VLAN MAC 或 IP地址,Backbone Switch,VLAN1,VLAN2,IEEE 802.1q,VLAN ID Tag中對(duì)VLAN

18、的標(biāo)示 VLAN劃分對(duì)應(yīng)于端口而不是MAC或IP地址 從端口進(jìn)的數(shù)據(jù)包被認(rèn)為是那個(gè)VLAN的 各端口可以屬于一個(gè)或多個(gè)VLAN 公共部分的VLAN ID如何選定,Vlan作用-安全,Vlan-減小廣播域,形象的說: 在公司開會(huì)發(fā)言，如果同時(shí)發(fā)言誰都聽不清楚。減小開會(huì)規(guī)模，同時(shí)發(fā)言，都可以挺清楚。,41,三層交換？,三層交換原理,一個(gè)具有三層交換功能的設(shè)備，是一個(gè)帶有第三層路由功能的第二層交換機(jī)，但它是二者的有機(jī)結(jié)合，并不是簡(jiǎn)單地把路由器設(shè)備的硬件及軟件疊加在局域網(wǎng)交換機(jī)上。,三層交換的作用,不同網(wǎng)段之間的互訪 192.168.0.xxx-192.168.1.xxx,三層交換的作用,安全 訪問控

19、制列表 多媒體傳輸 QoS 組播,路由器？,路由器是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠相互“讀”懂對(duì)方的數(shù)據(jù)。 路由器有兩大典型功能，即數(shù)據(jù)通道功能和控制功能。 數(shù)據(jù)通道功能包括轉(zhuǎn)發(fā)決定、轉(zhuǎn)發(fā)以及輸出數(shù)據(jù)鏈路調(diào)度等，一般由硬件來完成； 控制功能一般用軟件來實(shí)現(xiàn)，包括與相鄰路由器之間的信息交換、系統(tǒng)配置、系統(tǒng)管理等。,路由？路由器？,路由：通向目標(biāo)主機(jī)的路徑的過程。 路由器：能夠取定最佳路徑的設(shè)備。,我要去斜塔,生成樹協(xié)議 Spanning Tree?,在由交換機(jī)構(gòu)成的交換網(wǎng)絡(luò)中通常設(shè)計(jì)有冗余鏈路和設(shè)備。這種設(shè)計(jì)的目的是防止一個(gè)點(diǎn)的失敗

20、導(dǎo)致整個(gè)網(wǎng)絡(luò)功能的丟失。雖然冗余設(shè)計(jì)可能消除的單點(diǎn)失敗問題，但也導(dǎo)致了交換回路的產(chǎn)生，它會(huì)帶來如下問題： A.廣播風(fēng)暴 B.同一幀的多份拷貝 C.不穩(wěn)定的MAC地址表 因此，在交換網(wǎng)絡(luò)中必須有一個(gè)機(jī)制來阻止回路，而生成樹協(xié)議（Spanning Tree Protocol）的作用正是在于此。,生成樹協(xié)議,為什么要有生成樹標(biāo)準(zhǔn)： 避免回路：由交換機(jī)自動(dòng)檢測(cè)環(huán)路的存在，斷開環(huán)路 冗余備份：為了提高網(wǎng)絡(luò)穩(wěn)定性，需要網(wǎng)絡(luò)多條鏈路相通，提供了一種冗余備份的方法,快速生成樹協(xié)議,IEEE 802.1w快速生成樹協(xié)議（Rapid Spanning Tree） 相對(duì)于IEEE802.1d的特點(diǎn)： 縮短收斂時(shí)間，

21、使得網(wǎng)絡(luò)能夠快速收斂 提高網(wǎng)絡(luò)穩(wěn)定性，確保網(wǎng)絡(luò)不間斷的工作 IEEE802.1w快速生成樹協(xié)議將收斂時(shí)間縮短到幾秒,2-4層QoS,交換機(jī)不僅支持802.1p優(yōu)先隊(duì)列控制，而且有多種手段來為數(shù)據(jù)包設(shè)置優(yōu)先級(jí)。從第二層到第四層的多層信息都能被用來為數(shù)據(jù)包設(shè)置優(yōu)先級(jí)。同時(shí)，設(shè)置了優(yōu)先級(jí)的數(shù)據(jù)包有兩種傳輸時(shí)序，一種是嚴(yán)格優(yōu)先級(jí)順序，即嚴(yán)格按照優(yōu)先級(jí)高低來傳輸數(shù)據(jù)；一種是加權(quán)羅賓環(huán)（WRR），WRR允許給每個(gè)隊(duì)列標(biāo)識(shí)不同的占用端口帶寬的百分比，這樣，在數(shù)據(jù)轉(zhuǎn)發(fā)高峰來臨的時(shí)候，低優(yōu)先級(jí)隊(duì)列不會(huì)被拒絕訪問緩沖區(qū)和端口帶寬。,交換機(jī)的流量控制,流量控制：動(dòng)態(tài)分配內(nèi)存,交換機(jī)的流量控制,半雙工流量控制：背壓

22、全雙工流量控制：IEEE802.3x,什么是端口聚合?,端口聚合（PORTS TRUNKING）是一種用在交換機(jī)與服務(wù)器或交換機(jī)與交換機(jī)之間，通過將它們某些物理端口“捆綁”在一起，讓這些端口成為邏輯上的一條鏈路，以便增加交換機(jī)與服務(wù)器或交換機(jī)與交換機(jī)之間連接的帶寬，同時(shí)還能起到冗余備份作用的一項(xiàng)技術(shù)。端口聚合能夠在關(guān)鍵設(shè)備（如核心交換機(jī)，服務(wù)器）形成高帶寬、高冗余、負(fù)載均衡的優(yōu)質(zhì)鏈路。,端口聚合,PORTS TRUNKING 高帶寬、冗余備份 端口聚合的限制 同模塊 同模組 同VLAN 連續(xù)端口（可選） 兩端都要設(shè)置 帶寬相同 介質(zhì)相同 全雙工,什么是端口鏡像?,將交換機(jī)上某一個(gè)或幾個(gè)端口的數(shù)

23、據(jù)，完全復(fù)制到另外一個(gè)端口去的技術(shù)，叫做端口鏡像。端口鏡像通常用在數(shù)據(jù)監(jiān)控中，比如，做為網(wǎng)絡(luò)管理員，他如果想監(jiān)控某臺(tái)服務(wù)器的數(shù)據(jù)，就需要把服務(wù)器所連接的端口的數(shù)據(jù)，通過端口鏡像技術(shù)復(fù)制到他自己連接的端口上來。,端口鏡像,Port Mirroring：端口鏡像 端口鏡像技術(shù)是為了滿足這樣一個(gè)需求而設(shè)計(jì)的：滿足網(wǎng)絡(luò)管理員在不中斷某個(gè)端口計(jì)算機(jī)連接的情況下，從連接在其他端口上的計(jì)算機(jī)監(jiān)視網(wǎng)絡(luò)流量的一種做法。 具體實(shí)現(xiàn)正如它的名字一樣，在交換機(jī)內(nèi)將被監(jiān)控端口流入流出的數(shù)據(jù)完全復(fù)制到監(jiān)控端口，就象鏡子照的一樣,故稱為端口鏡像。,優(yōu)先級(jí)隊(duì)列?,優(yōu)先級(jí)隊(duì)列控制技術(shù)是一種能夠優(yōu)先保證要求快速發(fā)出的數(shù)據(jù)（如某些

24、語音數(shù)據(jù)和重要的業(yè)務(wù)數(shù)據(jù)）發(fā)送的一項(xiàng)技術(shù)。例如VoIP、視頻會(huì)議或多媒體應(yīng)用程序等對(duì)數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性要求都很高，不允許數(shù)據(jù)幀在傳輸和轉(zhuǎn)發(fā)過程中有較長(zhǎng)的延時(shí)，優(yōu)先級(jí)隊(duì)列可以使交換機(jī)按重要、非重要對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)幀進(jìn)行排隊(duì)，將定制的高優(yōu)先級(jí)數(shù)據(jù)幀先進(jìn)行發(fā)送，從而保證這些數(shù)據(jù)幀以最快的速度轉(zhuǎn)發(fā)給目的節(jié)點(diǎn)。優(yōu)先級(jí)隊(duì)列遵循IEEE 802.1p統(tǒng)一標(biāo)準(zhǔn)，可以為數(shù)據(jù)幀最多設(shè)置8個(gè)優(yōu)先級(jí)，“7”為最高優(yōu)先級(jí)，“0”為最低優(yōu)先級(jí)。,優(yōu)先級(jí)隊(duì)列,IEEE802.1p使用三個(gè)Bits來定義通過交換機(jī)的幀包的轉(zhuǎn)發(fā)優(yōu)先級(jí)。,1. 基于端口的LBD - 端口關(guān)閉，不允許通信,2. 基于VLAN LBD 阻止發(fā)生環(huán)路的V

25、LAN通信，但是不關(guān)閉trunking端口,V1,V1,PC1,PC2,V2,V2,環(huán)路,D-Link解決方案：環(huán)路檢測(cè)(LBD v4.0) 不依賴于生成樹協(xié)議（STP） 非網(wǎng)管交換機(jī)通常沒有生成樹協(xié)議功能 即使沒有開啟STP功能，D-Link的交換機(jī)也能檢測(cè)到端口環(huán)路 靈活的設(shè)置可以阻止環(huán)路發(fā)生 基于端口 基于VLAN,環(huán)路,端口環(huán)路,IP-MAC-Port綁定,有三種綁定模式：基于ARP模式、基于ACL模式、基于自動(dòng)模式綁定 只有IP、MAC和端口匹配正確了，數(shù)據(jù)才能通過相應(yīng)的端口傳輸 1、解決了IP地址沖突問題 2、解決了審計(jì)難的問題（現(xiàn)有系統(tǒng)日志都是基于IP地址的，如果用戶自行改變了I

26、P地址，這些日志就沒有意義了）,啟用IMP綁定v3,地址學(xué)習(xí),白色列表,由DHCP分配,192.168.1.1 00E0-0211-1111,192.168.1.200E0-0211-2222,192.168.1.100E0-0211-3333,A,B,C,( IP地址是由用戶手動(dòng)配置的）),IP MAC 端口 R r26 A a 2 B b12 C c16 ,IP-MAC-Port綁定,ARP欺騙攻擊的解決方案：IP-MAC-Port綁定 建立IP、MAC和Port的關(guān)聯(lián)數(shù)據(jù)庫(kù) 如果發(fā)現(xiàn)不匹配的ARP數(shù)據(jù)包，交換機(jī)會(huì)立即阻止這些非法訪問。,路由器,IP: R MAC: r,PC-A,IP:

27、A MAC: a,PC-B,IP: B MAC: b,PC-C,IP: C MAC: c,Im PC-A,Faked ARP IP: A MAC: c,我是路由器,Youre not PC-A,Faked ARP IP: R MAC: c,您不是路由器,啟用DHCP Snooping,地址學(xué)習(xí),IP-MAC對(duì)應(yīng)關(guān)系,由DHCP分配,192.168.1.1 00E0-0211-1111,192.168.1.200E0-0211-2222,192.168.1.300E0-0211-3333,A,B,C,(黑客主機(jī):發(fā)送ARP欺騙包）),DHCP Snooping,DHCP服務(wù)器,和IP-MAC-PORT 靜態(tài)綁定相比， DHCP Snooping操作更加便捷 DHCP Snooping能自動(dòng)學(xué)習(xí)IP，MAC和端口的對(duì)應(yīng)關(guān)系，并保存到本地?cái)?shù)據(jù)庫(kù)中 只有數(shù)據(jù)庫(kù)里的IP,MAC和端口匹配正確了，數(shù)據(jù)才能被傳輸,支持雙向帶寬控制，上下行帶寬粒度最小精確到64kbps,端口1,1Mbps,端口2,端口3,帶寬控制,企業(yè)中有不同的應(yīng)用，如何保障這些關(guān)鍵業(yè)務(wù)的帶寬？,端口限速?,端口限速是根據(jù)需要